Indésirables & Firewall

Support Debian
#1

Salut,

Mon pare-feu comporte actuellement 34 lignes de blocage. Combien de lignes est-il raisonnable d’admettre encore avant que le nombre de tentatives de connexion diminue ?

#2

Salut Gérard,

Parles tu d’IP bloquées ?

#3

Salut,

?

#4

Tu mets quoi dans ces lignes ?
Raisonnable à quel point de vue ?

#5

Re

@loreleil De la série IP donnée par whois quand un farceur essaye de se connecter sur aptosid-fr

@lol Cette commande est inconnue sur mon modem/routeur :slightly_smiling:

@Pascal Raisonnable en delai (frein) et combien va-t-il falloir en rajouter pour que les tentatives de connexion diminuent et avant que le routeur ne me déclare “memory full” :slightly_smiling:

#6

Mathématiquement, pour diminuer les tentatives de 25%, il faudrait blacklister 25% de l’internet.

#7

Et ça fait combien de millions, ça ?
:smiley:

#8

Oui, la mise en liste noire d’IP est une course en avant sans fin.
Au mieux tu sais qui t’attaque; Au pire tu as affaire à des ip variables (99.99% des cas) et là, inutile de s’énerver pour rien…

#9

Re,

[quote=“lol”]Oui, la mise en liste noire d’IP est une course en avant sans fin.
Au mieux tu sais qui t’attaque; Au pire tu as affaire à des ip variables (99.99% des cas) et là, inutile de s’énerver pour rien…[/quote]

Il est tout de même remarquable que ce sont des IP de l’Europe de l’est qui sont largement majoritaires. Ne me demandez pas pourquoi :blush:

#10

10% des ip qui “touchent” mon serveur sont ukrainiennes ou chinoises…
Tu pourrais faire un blocage par “nationalité”. C’est plutôt efficace.

#11

Re,

Et pour mettre en place ceci, un truc dans ce genre ?

forum.ovh.com/showthread.php?t=36682
blogmotion.fr/systeme/bloquer-ac … -pays-5387

Efficace ceci ?

#12

[quote=“loreleil”]Re,

Et pour mettre en place ceci, un truc dans ce genre ?

forum.ovh.com/showthread.php?t=36682
blogmotion.fr/systeme/bloquer-ac … -pays-5387

Efficace ceci ?[/quote]

Surement…
Je n’avais pas pensé au fichier .htaccess. L’avantage est la simplicité de mise en place.
Il faut voir si ça ne ralenti pas trop l’accès au serveur.

#13

[quote=“lol”][quote=“loreleil”]Re,

Et pour mettre en place ceci, un truc dans ce genre ?

forum.ovh.com/showthread.php?t=36682
blogmotion.fr/systeme/bloquer-ac … -pays-5387

Efficace ceci ?[/quote]

Surement…
Je n’avais pas pensé au fichier .htaccess. L’avantage est la simplicité de mise en place.
Il faut voir si ça ne ralenti pas trop l’accès au serveur.[/quote]

Un nullard comme moi accepterait volontiers un exemple :blush: Merci d’avance !

#14

Salut,

Tu va ici: countryipblocks.net/country- … ny-format/
Tu clique sur un pays, tu copie/colle la liste d’IP dans le .htaccess de ton site, tu sauvegarde, c’est tout

#15

[quote=“lol”]Salut,

Tu va ici: countryipblocks.net/country- … ny-format/
Tu clique sur un pays, tu copie/colle la liste d’IP dans le .htaccess de ton site, tu sauvegarde, c’est tout[/quote]

Quand on voit la taille de la liste pour un seul pays, çà ne parait pas sérieux si l’on pense à bannir quelques “Républiques Démocratiques”

#16

Re,

[quote]# Uncomment the statement below if you want to make use of

HTTP authentication and it does not already work.

This could be required if you are for example using PHP via Apache CGI.

#
#RewriteEngine on
#RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
#

<Files “config.php”>
Order Allow,Deny
Deny from All

<Files “common.php”>
Order Allow,Deny
Deny from All

[/quote]

Et je l’injecte où cette liste qui n’en finit pas ? J’ai déjà eu du mal à trouver où ils cachent leur .htaccess (pas dans var ni dans www :033 )

#17

Salut,

[quote=“ggoodluck47”]Quand on voit la taille de la liste pour un seul pays, çà ne parait pas sérieux si l’on pense à bannir quelques “Républiques Démocratiques”

Et je l’injecte où cette liste qui n’en finit pas ?[/quote]

Ouais, effectivement j’ai vu ça également, bloquer un pays un continent, :118 des milliers de lignes à intégrer dans mon script iptables, dur dur!

Autre solution possible. Sur ce coup, l’avis de Pascal serait apprécier …

Dans mon cas, j’ai des IP made in KOREA qui chatouille mon dédié depuis plus d’un mois. :013

Pour l’une d’elles à titre d’exemple (219.254.35.83), voici les info que je peux recueillir.

[quote]IP Address assigned to: KOREA, REPUBLIC OF

IP Address: 219.254.35.83 is located within the following Network:

Network: 219.248.0.0
CIDR: 219.248.0.0/13
Mask: 219.248.0.0/255.248.0.0
Network Range: 219.248.0.0 - 219.255.255.255
Total addresses: 524,288
Registrar: APNIC[/quote]

  • Avec ipcalc.

[code]:~$ ipcalc 219.254.35.83
Address: 219.254.35.83 11011011.11111110.00100011. 01010011
Netmask: 255.255.255.0 = 24 11111111.11111111.11111111. 00000000
Wildcard: 0.0.0.255 00000000.00000000.00000000. 11111111
=>
Network: 219.254.35.0/24 11011011.11111110.00100011. 00000000
HostMin: 219.254.35.1 11011011.11111110.00100011. 00000001
HostMax: 219.254.35.254 11011011.11111110.00100011. 11111110
Broadcast: 219.254.35.255 11011011.11111110.00100011. 11111111
Hosts/Net: 254 Class C

:~$ [/code]

  • Avec dig.

[code]:~$ dig -x 219.254.35.83

:~$
[/code]

Les règles applicables … peut être … :083

En me référant à ipcalc.

iptables -I INPUT -s 219.254.35.0/24  -j DROP

En me référant au site.

iptables -I INPUT -s 219.248.0.0/13 -j DROP

Où …

iptables -A INPUT -m iprange --src-range 219.248.0.0-219.255.255.255 -j DROP

Où encore Re-router les trames émises par ces blocks d’IP made in KOREA sur mon serveur, vers par exemple l’une des IP de google.

iptables -t nat -A OUTPUT -d 219.254.35.0/24 -j DNAT --to 209.85.229.99

:~# iptables -t nat -L OUTPUT Chain OUTPUT (policy ACCEPT) target prot opt source destination DNAT all -- anywhere 27.111.64.0/21 to:209.85.229.99 :~#

Lequel est le plus juste pour déterminer les blocks IP ? le site où ipcalc ?

Pourquoi cette différence de block ?

Quel règle serait la plus approprier ?

Pascal, qu’en dis tu ? … :083

#18

[quote=“loreleil”]Lequel est le plus juste pour déterminer les blocks IP ? le site où ipcalc ?

Pourquoi cette différence de block ?[/quote]
ipcalc ne fait que calculer en fonction des infos que tu lui donnes :

$ ipcalc 219.248.35.83/13 Address: 219.248.35.83 11011011.11111 000.00100011.01010011 Netmask: 255.248.0.0 = 13 11111111.11111 000.00000000.00000000 Wildcard: 0.7.255.255 00000000.00000 111.11111111.11111111 => Network: 219.248.0.0/13 11011011.11111 000.00000000.00000000 HostMin: 219.248.0.1 11011011.11111 000.00000000.00000001 HostMax: 219.255.255.254 11011011.11111 111.11111111.11111110 Broadcast: 219.255.255.255 11011011.11111 111.11111111.11111111 Hosts/Net: 524286 Class C
Clairement le site est bien plus fiable. :mrgreen: Encore plus fiable : un bête whois grâce auquel tu obtiens deux réseaux possibles : 219.254.0.0/15 (qui appartient à KRNIC, le registrar coréen équivalent à notre AFNIC) ou bien 219.254.24.0/19 (qui appartient à HanaNet, un FAI).

Quelle drôle d’idée, ça te bouffe de la bande passante pour rien (tu relayes les paquets dans un sens puis dans l’autre) et tu ne fais que polluer le réseau. En plus, c’est ton IP qui apparaît chez Google, pas de chance pour toi s’ils en profitent pour faire un truc pas catholique.

Quant aux deux autres règles (subnet / ip-range), je suis pas certain qu’il y ait grande différence en pratique. Cela dit le subnet n’a pas besoin de charger un module supplémentaire, mais c’est du détail sans grosse importance.

#19

La sortie d’ipcalc n’a aucun intérêt ici. Il applique par défaut la longueur de préfixe de la classe de l’adresse fournie. Or tout le monde sait (non ? il serait temps, pourtant) que les classes sont abandonnées depuis plus de 15 ans pour les adresses unicast. Cela fait donc belle lurette qu’on ne peut plus déduire la longueur du préfixe à partir de la valeur de l’adresse comme on le faisait du temps des classes. Ce n’est pas pour rien qu’on accole systématiquement le masque ou la longueur du préfixe, ce qui revient au même.
Comme l’a dit syam, c’est le whois du registre concerné (ici, l’APNIC) qui fait foi.

[quote=“lorelei”]Où encore Re-router les trames émises par ces blocks d’IP made in KOREA sur mon serveur, vers par exemple l’une des IP de google.

Marchera pas : cela n’affecte que les communications sortantes émises par ta machine, pas les réponses aux communications entrantes. Quand bien même, quel serait l’intérêt à part pourrir encore un peu plus ton upload et l’internet ?

#20

C’est toi qui donne l’idée, tu n’es même pas allé voir ?
Il ne s’agit pas d’iptables, mais de .htaccess.

Je précisais, que je ne savais pas si ça ralentissait le serveur Web.
Probablement un peu, encore faut-il savoir précisément de quel ordre est ce ralentissement.

En tout cas, ça ne coute pas grand chose de copier/coller une liste dans un fichier .htaccess…